Beste SD leden,

Ik heb een nieuwe site gemaakt. Het is eigenlijk meer een soort test project om mijn progammeer/design vaardigheden op de proef te stellen. Heb dit project volledig zelf geprogrammeerd. Alles is hand gecodeerd behalve de CKeditor.

Wat is het?
Het is een site waar je online documenten aan kunt maken en kunt delen via social networks/email.

Waar ben ik naar op zoek?
- Mensen die willen proberen potentiële veiligheid problemen aan te geven.
- Mensen die feedback willen geven over de gebruiksvriendelijkheid van de site.
- Algemene opmerkingen over de site.

Het betreft: http://www.omba.nl/

Ik waardeer alle feedback, ik ben (op dit moment) niet van plan de site echt te gaan gebruiken/promoten het was zoals eerder gezegd meer een leerproject. En ik denk ook niet dat het goed scaled vanaf x.xxx aantal gebruikers.

Met vriendelijke groeten,
Rick Lamers

P.S. Alvast bedankt!
P.P.S Ik progammeer nu ongeveer 2 jaar en ben nu 16 jaar (dus verwacht geen flawless code)

Known issues
- IE8 en lager werkt niet.

Waar is de link? Dan kan ik wel even proberen hem te hacken;)

In bericht:

Het betreft: http://www.omba.nl/

Heb de link toegevoegd!

Rick, kun je mij even een mail sturen op met een expliciete vermelding dat ik toestemming krijg?

Origineel gepost door Chris H

Rick, kun je mij even een mail sturen op met een expliciete vermelding dat ik toestemming krijg?

Ik heb je gemailt.

Hi,

Maak een topic aan op Tweakers. Ze zullen je site compleet uitkleden :+

Je controleert in ieder geval niet alles óók in het php-bestand. Het is bijvoorbeeld mogelijk een account zonder email-adres aan te maken: http://omba.nl/?v=7b77814aa2b6
Dit is nog geen veiligheidsrisico, maar ik zal even verder zoeken hoe je dit of iets dergelijks misbruikt kan worden
In je javascript hou je dit wel tegen, maar dat is natuurlijk niet voldoende

http://omba.nl/?v=e6ae28d729e1 :)

XSS + SQL injectie mogelijk.

Origineel gepost door Chris H

http://omba.nl/?v=e6ae28d729e1 :)

XSS + SQL injectie mogelijk.

Hey Chris,

Ten eerste bedankt voor je tijd.
En wow ik ben gefascineert door de snelheid waarmee je de site kan hacken.

Ik verwacht niet dat ik een onhackbare site kan maken aangezien sites van developers vele malen slimmer dan ik ook gehacked worden. Maar kun je vertellen wat mijn grootste fouten zijn? En hoe je de site precies kon hacken?

Met vriendelijke groeten,
Rick Lamers

invoeren van data, ophalen van data: escapen (bijvoorbeeld mysql_real_escape_string)
weergeven van data: sanitizen! (bijvoorbeeld htmlentities)

Zo voorkom je SQL en XSS injecties :)

http://omba.nl/db-interaction/createNewPage.php aanroepen is inderdaad voldoende om een nieuw record in de database aan te maken (zonder emailadres, wachtwoord).

Dit is zeker wel een veiligheidsrisico, namelijk spambots/botnets die je database kunnen flooden en daarmee de server overbelasten.

I.c.m. de xss mogelijkheden die Chris H al aangaf, zijn er zelfs mogelijkheden voor een xss worm, die automatisch nieuwe besmette pagina's aanmaakt zodra een eerder besmette pagina wordt bezocht.

Origineel gepost door Lodewijk d.V.

Je controleert in ieder geval niet alles óók in het php-bestand. Het is bijvoorbeeld mogelijk een account zonder email-adres aan te maken: http://omba.nl/?v=7b77814aa2b6
Dit is nog geen veiligheidsrisico, maar ik zal even verder zoeken hoe je dit of iets dergelijks misbruikt kan worden
In je javascript hou je dit wel tegen, maar dat is natuurlijk niet voldoende

Beste SDers,

Ten eerste wil ik iedereen die mee heeft geholpen om veiligheidsproblemen op te lossen echt bedanken. Ik heb veel geleerd van de feedback.

Ik realiseer me veel meer dat je altijd input moet filteren van users en wanneer je de input weergeeft dat ook moet filteren (htmlentities/input mysql_real_escape_string).

Ook heb ik de controles verdubbelt -> in Javascript checkt hij email validation en dergelijke maar ook in PHP wordt de email nu gechecked en of er wel of niet wachtwoorden zijn opgegeven.

Ik hoop dat het nu een stuk veiliger is, maar ik denk dat mijn aanpassingen jullie niet klein krijgen.

De vraag is opnieuw: http://omba.nl/

Probeer alles wat je wil, het is verder niet in gebruik of zo. Het is gewoon een test project. (Ik heb trouwens ook alle entries van de vorige keer gewist. Dat waren er al meer dan 3000.)

Als je nog vragen/opmerkingen suggesties of iets anders hebt te melden over omba.nl hoor ik het ook graag! Sta open voor alle kritiek.

Met vriendelijke groet,
Rick Lamers

Heb een fout gevonden waardoor ik elke pagina kan verwijderen zonder het wachtwoord te weten.
Via google chrome optie element inspecteren verander in op de pagina deze html code:

PHP Code:

<input type="hidden" name="loginstatus" value=""> 


In dit:

PHP Code:

<input type="hidden" name="loginstatus" value="loggedin"> 


Hierna kan ik simpelweg op de delete knop drukken en de pagina word verwijderd.
Controleer in het php bestand of de gebruiker is ingelogd doormiddel van sessions o.i.d.

Wel leuk script trouwens ;-)

Grt Ben

Origineel gepost door Ben F.

Heb een fout gevonden waardoor ik elke pagina kan verwijderen zonder het wachtwoord te weten.
Via google chrome optie element inspecteren verander in op de pagina deze html code:

PHP Code:

<input type="hidden" name="loginstatus" value=""> 


In dit:

PHP Code:

<input type="hidden" name="loginstatus" value="loggedin"> 


Hierna kan ik simpelweg op de delete knop drukken en de pagina word verwijderd.
Controleer in het php bestand of de gebruiker is ingelogd doormiddel van sessions o.i.d.

Wel leuk script trouwens ;-)

Grt Ben

Hey Ben F.

Bedankt voor het uitwijzen van die fout! Ik had al in mijn achterhoofd zitten dat ik moest zorgen dat dat ook nog in het PHP script gechecked moest voordat de pagina daadwerkelijk verwijdert wordt.

Heb het nu aangepast, hij checked de cookie 'ww'. Dat is een md5 hash van het wachtwoord waarmee de user de pagina heeft gemaakt. Als de cookie matched met het wachtwoord van de pagina die de gebruiker probeert te verwijderen, dan alleen wordt de pagina ook echt verwijdert.

De

PHP Code:

<input type="hidden" name="loginstatus" value=""> 


was enkel bedoeld voor gebruiksgemak, want ik weet dat het geen veilige methode is om te kijken of iemand ingelogd is.

Toch bedankt nog!

Groeten,
Rick
Aanvullend bericht:
#UPDATE

Ik wilde nog even laten weten dat ik nog een aantal wijzigingen heb aangebracht.

Nadat ik htmlentities gebruikte liep ik tegen het probleem aan dat de pagina die mensen opslaan niet meer weergegeven wordt als HTML. Dus wanneer mensen <b> tags gebruiken of <br /> tags dan worden ze automatisch weergegeven als de "ruwe" html.

Ik ben toen dus gaan zoeken naar een manier om de input op een goede manier weer te geven, het was even een speurtocht maar ik heb nu htmlpurifier.org's PHP oplossing geimplementeerd.

Zo wordt dus alle veilige HTML markup behouden en worden alle XSS injectie problemen opgelost.

Bedankt voor de hulp nogmaals, want zonder kritiek had ik de problemen misschien niet eens gezien.

Groeten,
Rick!